几个国际标准分组密码算法的安全性分析

1、几个国际标准分组密码算法的安全性分析分组密码是加解密双方用同一密钥进行加密和解密运算的密码算法 , 是保障 数据机密性与完整性的重要技术。 分组密码的安全性分析有利于发现算法中存在 的不足, 以确保算法在实际应用中的安全 , 并指导新的算法设计。上世纪末,随着美国AES计划1、欧洲NESSIE计划2和日本CRYPTRE计 划 3 的相继实施 , 对相应标准密码算法的安全性分析被国际密码学者广泛关注 , 极大地推动了分组密码分析与设计工作的发展。 本文主要对三个国际标准分组密 码算法AES Camellia和CLEFIA的安全性进行分析,提出一些有意义的密码学性 质, 并与国际上最前沿的分析结果

2、相比得到最优的结果。1、分组密码AES的安全性分析分组密码 Rijndael是由两位比利时密码学者Daemer和Rijmen于1997年设计，并于2000年10月被美国国家标准和技术研究 所(NIST)公布为高级加密标准 AES(Advaneed Encryption Standard)。之后,AES 被CRYPTRE工程和NESSIEX程推荐,并由国际标准化组织(ISO)选定为国际标准 ISO/IEC18033-3。AES的分组长度为128比特,采用SPN结构,密钥长度有128比特、192比特 和256比特三个版本,本文分别用 AES-128 AES-192与AES-256表示。AES的中

3、间相遇攻击是由Demirei和Seleuk于2008年FSE会议上提出7,他们利用4 轮AES区分器给出了 7轮AES-192和8轮AES-256的分析结果。在 2010 年亚密会上 ,Dunkelman, Keller 和 Shamir 提出了差分列举技术思 想和 Multiset 技术, 有效的减少了 Demirei 和 Selquk 攻击的存储和时间复杂度。 同时,利用数据/时间/存储折衷技术给出了 7轮AES-128的中间相遇分析结果。在2013年欧密会上，Derbez, Fouque和Jean利用Hash函数分析中的反弹(Rebound)技术,极大减少了 Dunkelman等人攻击的

4、时间和存储复杂度。并构造了5 轮 AES-256 区分器 , 给出了 9 轮 AES-256 的分析结果。本文主要考虑单密钥模式下 , 对 AES-192/256 的中间相遇攻击。我们提出了 一种改进中间相遇攻击的新方法基于密钥的中间状态过滤 , 并利用此方法构 造了 5轮AES-192区分器,结合数据/时间/存储折衷完成了对9轮AES-192的中 间相遇攻击。我们的攻击延续了 Dunkelman等人所提出的差分列举的思想，但不同的是, 我们利用中间状态的密钥关系 , 用有序数列代替 Multiset 来获取更多的信息量 , 以减少攻击的复杂度。这是除Biclique方法之外10,首次对9轮A

5、ES-192的分 析结果。同时,我们利用攻击中预计算与在线阶段的密钥关系 ,将整个攻击分割为一 系列的子攻击 , 每个子攻击都是相互独立的。当所有的子攻击工作于串行模式的 时候, 相应的存储空间可以重复使用。利用此方法，我们降低了整个攻击的存储复杂度。对于9轮AES-256，与2013 年欧密会的结果 9 相比, 存储复杂度降低了 232,但数据复杂度和时间复杂度不 受影响。2、分组密码Camellia的安全性分析分组密码算法Camellia由日本NTT和 三菱公司于 2000年设计,其分组长度为 128比特,密钥长度有 128比特、 192比 特和256比特三个版本。Camellia被CRY

6、PTRE工程推荐为日本的e-government 算法，也是NESSIEX程最终选取的算法之一，并且由国际标准化组织(ISO)选定 为国际标准 ISO/IEC18033-3。本文研究了 Camellia 算法的不可能差分分析和中间相遇攻击。 首先, 我们给 出了带 FL/FL-1 层 Camellia 算法的 7 轮不可能差分特征利用该不可能差分特征 ,我们分析了不带白化密钥的 10轮 Camellia-128, 以 及带白化密钥的10轮Camellia-192和11轮Camellia-256算法。同时，我们给 出了在 3/4 弱密钥空间里 , 带 FL/FL-1 层的 7 轮不可能差分特征。

7、之后利用该特征给出了弱密钥条件下、 10/11/12 轮 Camellia-128/192/256 的不可能差分分析。在此基础上 , 我们提出了复合攻击的思想：即利用每次失败 的攻击来推出2比特的密钥条件，经过a次攻击，推出2Xa比特密钥信息。从而,将弱密钥条件下的攻击转化为对全密钥空间的攻击。 除此之外, 我们还 给出了中间14轮Camellia-256 和12轮Camellia-192的分析结果。其次,结合2010年亚密会上Dunkelman等人所提出的差分列举思想和 Mulitset 技术, 我们给出了 7轮 Camellia-192 的中间相遇性质。并以此构造了 12轮 Camelli

8、a-192 的中间相遇攻击 , 复杂度比当前最优结果快大约 28倍。此外,我们给出了 8轮 Camellia-256 的中间相遇性质 , 并以此构造了带两个FL/FL-1层的13轮Camellia-256的中间相遇攻击，据我们所知,这是第一个对首 轮开始 13轮 Camellia-256 的分析结果。我们同样给出了不带白化密钥的 14轮 Camellia-256 的分析结果。3、分组密码CLEFIA的安全性分析CLEFIA是由索尼公司(Sony Corporaten) 于2007年设计,2012 年被 ISO/IEC29192-2 选举为轻量级分组密码算法标 准,2013年被日本CRYP-TRE项目推荐为e-Government建议算法。CLEFIA采用 四路广义 Fesitel 结构, 分组长度为 128比特, 密钥长度有 128比特、 192比特和 256 比特三个版本。本文给出了一个10轮的CLEFIA截断差分特征,并给出了 13轮CLEFIA-128 的分析结果。之后 , 结合 Isobe 等人提出的函数归约